Datenschutz

DSGVO Personalwesen: Mitarbeiterdaten und §26 BDSG

DSGVO im Personalwesen 2026: §26 BDSG, Mitarbeiterüberwachung, Bewerberdaten, BAG-Rechtsprechung — vollständiger Leitfaden für HR und DSB.

TD
Dr. Thiébaut Devergranne
23. Mai 20265 min read

In einem Satz. Beschäftigtendatenschutz in Deutschland folgt einer dualen Logik: DSGVO als europäische Grundordnung plus §26 BDSG als nationale Spezialnorm (auf Basis der Öffnungsklausel Art. 88 DSGVO), wobei §26 BDSG seit dem EuGH-Urteil C-34/21 (Hauptpersonalrat, März 2023) in seiner praktischen Reichweite zurückgenommen werden muss — viele Verarbeitungen, die früher pauschal auf §26 BDSG gestützt wurden, brauchen heute eine zusätzliche DSGVO-Rechtsgrundlage.

Der EuGH hat im März 2023 entschieden, dass §26 BDSG (in der bis dahin geltenden Auslegung) den DSGVO-Anforderungen nicht genügt, weil er keine eigenen, über die DSGVO hinausgehenden Garantien für Beschäftigte bietet. Das nationale Reform-Projekt eines “Beschäftigtendatengesetzes” (BeschDG) wurde Ende 2024 angekündigt, aber noch nicht verabschiedet (Stand Mai 2026).

Für DSGVO-Rechtsgrundlagen siehe DSGVO Artikel 6 Rechtsgrundlagen. Für Home-Office-Spezifika Datenschutz im Home Office.

Wichtige Punkte

  • §26 BDSG ist nach EuGH C-34/21 nur eingeschränkt tragfähig als alleinige Rechtsgrundlage.
  • Einwilligung im Beschäftigungsverhältnis selten gültig wegen Machtungleichgewicht (EDPB).
  • Mitarbeiterüberwachung nur bei konkretem Anfangsverdacht oder klarer Verhältnismäßigkeit.
  • Bewerberdaten: Löschung 6 Monate nach Absage Standard, längere Aufbewahrung bei Talent-Pool nur mit Einwilligung.
  • H&M-Bußgeld 2020 (35,3 Mio. €) als Präzedenz für Beschäftigtenprofiling.

1. Die rechtliche Grundstruktur

Verarbeitung von Beschäftigtendaten stützt sich auf:

  • Art. 6 Abs. 1 lit. b — Vertragserfüllung (Arbeitsvertrag)
  • Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung (Steuer, Sozialversicherung)
  • Art. 6 Abs. 1 lit. f — berechtigtes Interesse (eingeschränkt)
  • Art. 6 Abs. 1 lit. a — Einwilligung (selten)
  • §26 BDSG — als nationale Spezifikation

Nach EuGH C-34/21 ist §26 BDSG nicht autark — die DSGVO-Anforderungen (Erforderlichkeit, Verhältnismäßigkeit, Transparenz) gelten zusätzlich.

2. §26 BDSG im Detail

§26 Abs. 1 BDSG: “Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.”

Drei Verarbeitungsphasen:

  • Vor Begründung (Bewerbungsverfahren)
  • Während (laufende Verwaltung, Performance)
  • Nach Beendigung (Zeugnis, Aufbewahrung)

3. Bewerbungsverfahren

Verarbeitung Rechtsgrundlage Speicherdauer
Bewerbung erhalten Art. 6 lit. b vorvertraglich bis Entscheidung
Absage erteilt berechtigtes Interesse 6 Monate (AGG-Frist)
Talent-Pool-Aufnahme Einwilligung 24 Monate, verlängerbar
Background-Check §26 BDSG, Erforderlichkeit bis Entscheidung
Reisekosten erstattet Vertragserfüllung 10 Jahre (HGB)

LfDI Niedersachsen 2023: 50.000 € Bußgeld für Aufbewahrung von Absage-Bewerbungen ohne Rechtsgrundlage über 18 Monate.

4. Laufende Beschäftigung

Zulässig nach §26 BDSG:

  • Stammdatenpflege
  • Gehaltsabrechnung
  • Zeiterfassung (BAG 1 ABR 22/21 vom September 2022 — Pflicht zur Erfassung)
  • Urlaubsverwaltung
  • Performance Reviews

Mit zusätzlichen Anforderungen:

  • Performance Monitoring → DSFA, Verhältnismäßigkeitsprüfung
  • Standortdaten (Außendienst) → §26 + Betriebsvereinbarung
  • Gesundheitsdaten (Krankmeldung) → Art. 9 Abs. 2 lit. b

5. Mitarbeiterüberwachung — die §26-Grenze

Drei Stufen der Überwachung:

Stufe Beispiel Voraussetzung
Anlasslos präventiv Webcam-Überwachung Praktisch unzulässig
Anlassbezogen-systematisch Internet-Monitoring Betriebsvereinbarung + Verhältnismäßigkeit
Anlassbezogen-konkret Forensik bei Verdacht Konkreter Anfangsverdacht erforderlich

BAG 2 AZR 184/22 (August 2023): Verdeckte Videoüberwachung nur bei konkretem Verdacht einer schweren Pflichtverletzung; sonst Beweisverwertungsverbot.

6. Sanktionen und Präzedenzfälle

Jahr Unternehmen Aufsicht Sanktion Sachverhalt
2020 H&M HmbBfDI 35,3 Mio. € Profiling von Mitarbeitenden
2020 Notebooksbilliger LfDI NI 10,4 Mio. € Videoüberwachung
2022 Möbelhaus LfDI BW 1,1 Mio. € Tracking Außendienst
2023 Logistik DSB BB 525k € GPS-Überwachung
2024 Pflegekonzern LDI NRW 1,9 Mio. € Excel-Listen Krankheiten

7. Betriebsrat und Mitbestimmung

§87 Abs. 1 BetrVG mit Datenschutzbezug:

  • Nr. 1 — Ordnung des Betriebs
  • Nr. 6 — technische Einrichtungen zur Überwachung
  • Nr. 7 — Arbeitssicherheit

Nahezu jedes IT-System mit Mitarbeiterbezug ist mitbestimmungspflichtig. Betriebsvereinbarung ist auch eine Rechtsgrundlage nach §26 BDSG und kann §26 BDSG-Defizite teilweise heilen.

8. EuGH C-34/21 — die Wende

Entscheidung März 2023, Hauptpersonalrat des Hessischen Kultusministeriums:

  • §23 HDSIG (entspricht §26 BDSG) genügt allein nicht DSGVO-Vorgaben
  • Nationale Öffnungsklausel-Normen müssen eigene konkrete Schutzbestimmungen enthalten
  • Reine Wiederholung der DSGVO genügt nicht

Konsequenz für Praxis: Verarbeitungen müssen auch DSGVO-konform begründet werden — §26 BDSG kann nicht “DSGVO ersetzen”.

9. Beschäftigtendatengesetz (BeschDG) — Stand 2026

Ende 2024 hat das BMAS einen Referentenentwurf eines Beschäftigtendatengesetzes vorgelegt. Geplante Schwerpunkte:

  • Konkretere Schranken für Mitarbeiterüberwachung
  • Regelungen zu KI im HR
  • Whistleblower-Schutz
  • Beweisverwertungsverbote bei DSGVO-Verstößen

Stand Mai 2026: noch nicht verabschiedet, frühestens 2027 wirksam.

10. KI im HR — die kommende Welle

Mit EU AI Act ab 2. August 2026 sind viele HR-KI-Anwendungen Hochrisiko-Systeme (Anhang III Nr. 4):

  • CV-Screening
  • Bewerberauswahl
  • Performance-Bewertung
  • Beförderungsentscheidungen
  • Kündigungsempfehlungen

Anforderungen: Konformitätsbewertung, Risikomanagement, menschliche Aufsicht, Robustheit, Transparenz.

Detail: Datenschutz KI Tools, DSGVO Artikel 22 automatisierte Entscheidungen.

11. Implementierungs-Checkliste HR-Datenschutz

  • [ ] HR-Verzeichnis im VVT als eigene Sektion
  • [ ] Rechtsgrundlagen pro Verarbeitung (über §26 BDSG hinaus)
  • [ ] Mitarbeiter-Datenschutzerklärung (separat von externer)
  • [ ] Bewerber-Informationspflichten erfüllt
  • [ ] Speicherfristen pro Datenkategorie
  • [ ] Löschkonzept umgesetzt
  • [ ] Betriebsvereinbarungen für IT-Systeme
  • [ ] Schulungen HR-Mitarbeitende
  • [ ] DSFA bei sensiblen HR-Tools (KI, Tracking)
  • [ ] Auskunftsrecht-Prozess für Mitarbeiter

12. Werkzeuge

Legiscope führt einen HR-Datenschutz-Modul mit Vorlagen für Bewerber-Informationspflichten, Betriebsvereinbarungs-Templates und automatischen Löschworkflows nach Speicherfristen.

Verwandte Leitfäden: DSGVO Artikel 6 Rechtsgrundlagen, Datenschutz im Home Office, Datenschutz KI Tools.

Fazit

Beschäftigtendatenschutz ist seit dem EuGH-Urteil 2023 in der Übergangsphase. §26 BDSG bleibt relevant, aber nicht mehr autark. Bis das Beschäftigtendatengesetz kommt, gilt: jede Verarbeitung doppelt prüfen — DSGVO-Rechtsgrundlage und §26 BDSG-Tragfähigkeit.

FAQ

Ist §26 BDSG nach EuGH C-34/21 noch anwendbar?

Ja, aber nicht mehr als alleinige Rechtsgrundlage. Die DSGVO-Anforderungen (Erforderlichkeit, Transparenz, Verhältnismäßigkeit) gelten zusätzlich und müssen konkret nachgewiesen werden.

Wie lange darf ich Bewerberunterlagen aufbewahren?

Bei Absage: 6 Monate (AGG-Klagefrist plus Pufferzeit). Bei Talent-Pool-Aufnahme: nur mit ausdrücklicher Einwilligung, typisch 24 Monate.

Ist Mitarbeiter-Tracking per GPS zulässig?

Nur bei dienstlich erforderlichem Außendienst, mit Betriebsvereinbarung und konkreter Verhältnismäßigkeitsprüfung. Reine Verhaltenskontrolle ist unzulässig.

Können Mitarbeiter wirksam einwilligen?

Selten — EDPB-Leitlinie 05/2020 hält Einwilligung im Beschäftigungsverhältnis aufgrund Machtungleichgewicht für typischerweise unwirksam.

Wann kommt das Beschäftigtendatengesetz?

Stand Mai 2026 liegt nur Referentenentwurf vor. Verabschiedung frühestens 2027 zu erwarten.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →